43d6164a15
- 工作区 reqwest 增加 system-proxy,与系统代理一致 - google.rs:超时/非 2xx 体日志;OAuth 请求单独 45s 超时 - README / AGENTS / deploy/.env.example:OAuth 出站与 HTTPS_PROXY 说明
59 lines
3.6 KiB
Plaintext
59 lines
3.6 KiB
Plaintext
# Secrets MCP Server 环境变量配置
|
||
# 复制此文件为 .env 并填写真实值
|
||
|
||
# ─── 数据库 ───────────────────────────────────────────────────────────
|
||
# Web 会话(tower-sessions)与业务数据共用此库;启动时会自动 migrate 会话表,无需额外环境变量。
|
||
SECRETS_DATABASE_URL=postgres://postgres:PASSWORD@db.refining.ltd:5432/secrets-mcp
|
||
# 强烈建议生产使用 verify-full(至少 verify-ca)
|
||
SECRETS_DATABASE_SSL_MODE=verify-full
|
||
# 私有 CA 或自建链路时填写 CA 根证书路径;使用公共受信 CA 可留空
|
||
# SECRETS_DATABASE_SSL_ROOT_CERT=/etc/secrets/pg-ca.crt
|
||
# 当设为 prod/production 时,服务会拒绝弱 TLS 模式(prefer/disable/allow/require)
|
||
SECRETS_ENV=production
|
||
|
||
# ─── 服务地址 ─────────────────────────────────────────────────────────
|
||
# 内网监听地址(Cloudflare / Nginx 反代时填内网端口)
|
||
SECRETS_MCP_BIND=127.0.0.1:9315
|
||
|
||
# 对外 HTTPS 地址(用于 OAuth 回调 URL 拼接)
|
||
BASE_URL=https://secrets.example.com
|
||
|
||
# ─── Google OAuth ─────────────────────────────────────────────────────
|
||
# Google Cloud Console → APIs & Services → Credentials
|
||
# 授权回调 URI 须与 BASE_URL 完全一致:${BASE_URL}/auth/google/callback(含 http/https、主机名、端口)
|
||
# 运行 secrets-mcp 的机器须能访问 Google(oauth2.googleapis.com)。若本机用 Clash/Surge「系统代理」上网:
|
||
# 构建时已启用 reqwest 的 system-proxy,进程会跟随系统代理;仍失败时可设 HTTPS_PROXY(见下方)。
|
||
GOOGLE_CLIENT_ID=
|
||
GOOGLE_CLIENT_SECRET=
|
||
# 若仍无法换 token(仅提供端口代理、无系统代理):可取消注释并改为本机代理地址
|
||
# HTTPS_PROXY=http://127.0.0.1:7890
|
||
# NO_PROXY=localhost,127.0.0.1
|
||
|
||
# ─── 微信登录(暂未开放,预留)───────────────────────────────────────
|
||
# WECHAT_APP_CLIENT_ID=
|
||
# WECHAT_APP_CLIENT_SECRET=
|
||
|
||
# ─── 日志(可选)──────────────────────────────────────────────────────
|
||
# RUST_LOG=secrets_mcp=debug
|
||
|
||
# ─── 数据库连接池(可选)──────────────────────────────────────────────
|
||
# 最大连接数,默认 10
|
||
# SECRETS_DATABASE_POOL_SIZE=10
|
||
# 获取连接超时秒数,默认 5
|
||
# SECRETS_DATABASE_ACQUIRE_TIMEOUT=5
|
||
|
||
# ─── 限流(可选)──────────────────────────────────────────────────────
|
||
# 全局限流速率(req/s),默认 100
|
||
# RATE_LIMIT_GLOBAL_PER_SECOND=100
|
||
# 全局限流突发量,默认 200
|
||
# RATE_LIMIT_GLOBAL_BURST=200
|
||
# 单 IP 限流速率(req/s),默认 20
|
||
# RATE_LIMIT_IP_PER_SECOND=20
|
||
# 单 IP 限流突发量,默认 40
|
||
# RATE_LIMIT_IP_BURST=40
|
||
|
||
# ─── 代理信任(可选)─────────────────────────────────────────────────
|
||
# 设为 1/true/yes 时从 X-Forwarded-For / X-Real-IP 提取客户端 IP
|
||
# 仅在反代环境下启用,否则客户端可伪造 IP 绕过限流
|
||
# TRUST_PROXY=1
|